Ir a la consola

Privacidad y seguridad en Firebase

En esta página, se describe la información clave sobre la privacidad y la seguridad de Firebase. Si buscas iniciar un proyecto nuevo con Firebase o quieres conocer cómo funciona con tu proyecto existente, lee este artículo para descubrir cómo Firebase puede ofrecer protección para ti y tus usuarios.

Modificado por última vez el 26 de julio de 2019

Protección de datos

Firebase está preparado para el GDPR

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (GDPR) de la UE reemplazará a la Directiva de Protección de Datos de la UE de 1995. Google está comprometido a ayudar a nuestros clientes a tener éxito bajo el GDPR, ya sean grandes empresas de software o desarrolladores independientes.

El GDPR impone obligaciones a los controladores de datos y a los procesadores de datos. Por lo general, los clientes de Firebase actúan como "controladores de datos" de la información personal sobre sus usuarios finales que proporcionan a Google en relación con su uso de Firebase. Por su parte, Google suele ser el "procesador de datos".

Esto significa que los datos están bajo el control del cliente. Los controladores son responsables de sus obligaciones, como cumplir con los derechos de una persona en relación con sus datos personales.

Si eres un cliente y quieres conocer las responsabilidades de los controladores de datos, deberías familiarizarte con las estipulaciones del GDPR y verificar tus planes de cumplimiento de normas.

Preguntas clave para tener en cuenta:

  • ¿De qué forma tu organización garantiza el control y la transparencia de los usuarios en torno al uso de datos?
  • ¿Estás seguro de que tu organización cuenta con los consentimientos apropiados en las áreas necesarias que especifica el GDPR?
  • ¿Tu organización posee los sistemas adecuados para registrar las preferencias y los consentimientos de los usuarios?
  • ¿Cómo demostrarás a los reguladores y los socios que cumples con los principios del GDPR y que tu organización es responsable?

Condiciones de seguridad y procesamiento de datos de Firebase

Por lo general, cuando los clientes usan Firebase, Google es el encargado de procesar los datos personales por ellos. Las condiciones de Firebase incluyen Condiciones de Seguridad y Procesamiento de Datos para todos los servicios de Firebase, que se aplicarán a partir del 25 de mayo de 2018.

Ciertos servicios de Firebase que se rigen por las Condiciones del Servicio de Google Cloud Platform (GCP) ya están cubiertos por las condiciones del procesamiento de datos asociadas: las Condiciones de Seguridad y Procesamiento de Datos de GCP. Puedes encontrar una lista completa de los servicios de Firebase que actualmente se rigen por las Condiciones del Servicio de GCP en las Condiciones de Servicio de Firebase.

Google Analytics para Firebase está cubierto por las Condiciones de Procesamiento de Datos de Google Ads.

Firebase está certificado según los principales estándares de seguridad y privacidad

Cumplimiento de ISO y SOC

Todos los servicios de Firebase completaron correctamente los procesos de evaluación ISO 27001, SOC 1, SOC 2 y SOC 3. Además, algunos completaron los procesos de certificación ISO 27017 e ISO 27018:

Nombre del servicio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics para Firebase check check check check
Kit de AA para Firebase check check check check
Firebase Test Lab check check check check check check
Cloud Firestore check check check check check check
Cloud Functions para Firebase check check check check check check
Cloud Storage para Firebase check check check check check check
Firebase Authentication check check check check check check
Firebase Crash Reporting check check check check
Firebase In-App Messaging check check check check
Firebase Invites check check check check
Firebase Cloud Messaging check check check check
Firebase Predictions check check check check
Firebase Performance Monitoring check check check check
Firebase Hosting check check check check
Firebase Dynamic Links check check check check
Firebase Remote Config check check check check
Firebase Realtime Database check check check check
Firebase Platform check check check check
Firebase A/B Testing check check check check

Certificaciones del Marco de trabajo del Escudo de Privacidad

En julio de 2016, la Comisión Europea concluyó que el Marco de trabajo del Escudo de Privacidad entre la UE y los EE.UU. proporciona un mecanismo adecuado para permitir que las empresas de la UE cumplan con los requisitos de la Directiva relacionados con la transferencia de datos personales de la Unión Europea a los Estados Unidos. Google LLC está certificado según los marcos de trabajo del Escudo de Privacidad entre EE.UU. y la UE y entre Suiza y EE.UU. Puedes ver la certificación en la lista del Escudo de Privacidad.

Información sobre el procesamiento de datos

Ejemplos de datos personales de usuarios finales procesados por Firebase

Algunos servicios de Firebase procesan los datos personales de tus usuarios finales para proporcionar su servicio. El siguiente gráfico muestra ejemplos de cómo varios servicios de Firebase usan y controlan datos personales de usuarios finales. Además, varios servicios de Firebase ofrecen la capacidad de solicitar la eliminación de datos específicos o controlar cómo se administran.

Servicio de Firebase Datos personales De qué manera los datos ayudan a proporcionar el servicio
Cloud Functions para Firebase
  • Direcciones IP

Cómo ayuda: Cloud Functions usa direcciones IP para ejecutar funciones con la capacidad de controlar eventos y funciones de HTTP basadas en las acciones del usuario final.

Retención: Cloud Functions solo almacena las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Authentication
  • Contraseñas
  • Direcciones de correo electrónico
  • Números de teléfono
  • Usuarios-agente
  • Direcciones IP

Cómo ayuda: Firebase Authentication usa los datos para habilitar la autenticación del usuario final y facilitar la administración de su cuenta. También usa strings usuario-agente y direcciones IP para ofrecer seguridad adicional y prevenir el abuso durante el registro y la autenticación.

Retención: Firebase Authentication mantiene las direcciones IP registradas solo por unas semanas. El resto de la información de autenticación se retiene hasta que el cliente de Firebase inicia la eliminación del usuario asociado, tras lo cual se quitan los datos de los sistemas activos y de respaldo en un plazo de 180 días.

Firebase Cloud Messaging
  • ID de instancia

Cómo ayuda: Firebase Cloud Messaging utiliza los ID de instancia para determinar a qué dispositivos debe enviar los mensajes.

Retención: Firebase retiene los ID de instancia hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de respaldo en un plazo de 180 días.

Firebase Crash Reporting
  • ID de instancia
  • Seguimientos de fallas

Cómo ayuda: Crash Reporting usa seguimientos de pila de fallas a fin de asociarlas con un proyecto, envía alertas por correo electrónico a los miembros del proyecto y las muestra en Firebase Console, además, ayuda a los clientes de Firebase a depurar las fallas. Usa los ID de instancia para medir la cantidad de usuarios afectados por una falla.

Retención: Crash Reporting retiene los seguimientos de pila de fallas por 180 días. Firebase retiene los ID de instancia hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de respaldo en un plazo de 180 días.

Firebase Dynamic Links
  • Especificaciones del dispositivo (iOS)

Cómo ayuda: Dynamic Links usa las especificaciones del dispositivo en iOS para abrir apps instaladas recientemente en una página o un contexto específico.

Retención: Dynamic Links solo almacena las especificaciones del dispositivo de manera temporal a fin de proporcionar el servicio.

Firebase Hosting
  • Direcciones IP

Cómo ayuda: Hosting usa direcciones IP de las solicitudes entrantes para detectar el abuso y proporcionar análisis detallados de datos de uso a los clientes.

Retención: Hosting retiene los datos de IP durante unos meses.

Firebase Invites
  • Especificaciones del dispositivo (iOS)
  • Contactos almacenados localmente

Cómo ayuda: Invites permite a los usuarios enviar vínculos de invitación a sus contactos. Estos vínculos son Firebase Dynamic Links, que usan las especificaciones del dispositivo en iOS para abrir las apps instaladas recientemente en un contexto o una página en específico.

Retención: Las invitaciones de Apps solo acceden a los contactos almacenados localmente en el dispositivo y solo almacenan las especificaciones del dispositivo de manera temporal mediante Firebase Dynamic Links, a fin de proporcionar el servicio.

Firebase Performance Monitoring
  • ID de instancia
  • Direcciones IP

Cómo ayuda: Performance Monitoring usa los ID de instancia para calcular la cantidad de instancias de app únicas que acceden a los recursos de red a fin de garantizar que el acceso a los patrones tenga el anonimato suficiente. También usa los ID de instancia con Firebase Remote Config a fin de administrar la tasa de informes de eventos de rendimiento. Además, usa direcciones IP para mapear los eventos de rendimiento a los países donde se originaron. Para obtener más información, consulta Recopilación de datos.

Retención: Performance Monitoring retiene los eventos relacionados con la instancia y la IP por 30 días y los datos de rendimiento desidentificados por 90 días. Firebase retiene los ID de instancia hasta que el cliente de Firebase realice una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de respaldo en un plazo de 90 días.

Firebase Predictions
  • ID de instancia

Cómo ayuda: Predictions usa los ID de instancia para asociar las instancias de app con un proyecto y recuperar una serie temporal de eventos. Usa esos eventos para habilitar la predicción de las probabilidades de que ocurran eventos especificados por los clientes, además de las predicciones de inversión y deserción de forma predeterminada.

Retención: Predictions almacena por 60 días los eventos asociados con instancias y por unas semanas las predicciones que realiza en función de esos eventos. Firebase retiene los ID de instancia hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de respaldo en un plazo de 180 días.

Firebase Realtime Database
  • Direcciones IP
  • Usuarios-agente

Cómo ayuda: Realtime Database usa direcciones IP y usuarios-agentes para habilitar la herramienta generadora de perfiles, que ayuda a los clientes de Firebase a comprender las tendencias de uso y el desglose por plataforma.

Retención: Realtime Database mantiene las direcciones IP y la información de los usuarios-agente solo por unos días, a menos que el cliente decida almacenarlas por más tiempo.

Google Analytics para Firebase

Cómo ayuda: Google Analytics usa los datos para proporcionar información de atribución y estadísticas. La información precisa que se recopila puede variar según el dispositivo y el entorno. Para obtener más información, consulta Recopilación de datos.

Retención: Google Analytics retiene algunos datos asociados con el identificador de publicidad (p. ej., los identificadores para anunciantes y proveedores de Apple, el ID de publicidad de Android) por 60 días, además, almacena informes adicionales y algunos datos de campañas de nivel de usuario sin expiración automática, a menos que el cliente de Firebase cambie sus preferencias de retención en su configuración de Analytics o que borre su proyecto.

Firebase Remote Config
  • ID de instancia

Cómo ayuda: Remote Config usa los ID de instancia para seleccionar los valores de configuración a fin de volver a los dispositivos del usuario final.

Retención: Firebase retiene los ID de instancia hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de respaldo en un plazo de 180 días.

Kit de AA para Firebase
  • Imágenes subidas
  • ID de instancia

Cómo ayuda: Las API basadas en Cloud almacenan las imágenes subidas de manera temporal a fin de procesar el análisis y mostrártelo. Por lo general, las imágenes almacenadas se borran en unas horas. Consulta las Preguntas frecuentes del uso de datos de Cloud Vision a fin de obtener más información.

El Kit de AA usa los ID de instancias cuando interactúa con instancias de app, por ejemplo, para distribuir los modelos de desarrolladores a las instancias de app. Los ID de instancia también permiten que el Kit de AA use Firebase Remote Config para asegurarse de que las API del dispositivo (p. ej., los filtros y las listas de temas) se mantengan actualizados.

Retención: Firebase retiene los ID de instancia hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de respaldo en un plazo de 180 días.

Firebase Crashlytics Para obtener más información sobre Crashlytics y el procesamiento de datos del usuario final, consulta las Políticas de Recopilación de Datos de Crashlytics.

Guías para habilitar la aceptación del procesamiento de datos personales de usuarios finales

Los servicios que aparecen en la tabla anterior necesitan cierta cantidad de datos personales de usuarios finales para funcionar. Como resultado, no es posible inhabilitar la recopilación de datos por completo mientras se usen estos servicios.

Si eres un cliente que desea ofrecer a los usuarios la posibilidad de aceptar un servicio, junto con su respectiva recopilación de datos, en la mayoría de los casos basta con agregar un diálogo o un botón para activar o desactivar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una app. Si deseas que los usuarios tengan la posibilidad de aceptar antes de usar esos servicios, puedes inhabilitar la inicialización automática de cada uno y, luego, iniciarlos de forma manual en el tiempo de ejecución. Para aprender a hacerlo, lee las guías que aparecen a continuación:

Ubicaciones de procesamiento y almacenamiento de datos

A menos que un servicio o una función permita seleccionar la ubicación de los datos, es posible que Firebase procese y almacene tus datos en cualquier instalación de Google o sus agentes. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE.UU.

Algunos servicios de Firebase se ejecutan solo desde centros de datos en EE.UU. Por lo tanto, esos servicios procesan datos exclusivamente en Estados Unidos.

  • Firebase Realtime Database
  • Firebase Hosting
  • Firebase Authentication

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o de los centros de datos de Google. Para algunos servicios, puedes realizar una selección de ubicación de datos que restrinja el procesamiento a esa ubicación.

  • Cloud Storage para Firebase
  • Cloud Firestore
  • Cloud Functions para Firebase
  • Firebase Performance Monitoring
  • Firebase Crash Reporting
  • Firebase Dynamic Links
  • Firebase Invites
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Firebase Predictions
  • Google Analytics
  • Kit de AA para Firebase
  • Firebase Test Lab

Información de seguridad

Encriptación de datos

Los servicios de Firebase encriptan datos en tránsito con HTTPS y datos de clientes aislados de manera lógica.

Además, varios servicios de Firebase también encriptan sus datos en reposo:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab

Prácticas de seguridad

Para mantener protegidos los datos personales y reducir al mínimo el acceso a ellos, Firebase aplica medidas de seguridad exhaustivas:

  • Firebase restringe el acceso a una selección de empleados que tienen un fin comercial para acceder a los datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite que accedan a los datos personales los empleados que lo hacen con el Acceso con Google y la autenticación de dos factores.

¿Tienes más preguntas? Comunícate con nosotros

Si tienes preguntas relacionadas con la privacidad que no se incluyen aquí, comunícate con nosotros mediante el formulario de servicios de cuenta.